Site Search

Loading Results

Digital Operational Resilience Act

DORA-forordningen
#

DORA giver myndighederne beføjelser til at føre tilsyn med cyber- og IKT-risici i forbindelse med virksomhedens afhængighed af tredjepartsudbydere, fx. cloud-platforme og tilhørende it-sikkerhedstjenester. Vi kan hjælpe jer i processen med at omstille jeres virksomhed til de nye vilkår i EU-forordningen.

DORA og dens indvirkning på danske finansielle virksomheder og IKT-tjenesteudbydere

DORA er en del af et nyt og bredere europæisk rammeværk rettet mod den finansielle sektor. DORA blev endeligt vedtaget den 28. november 2022 og trådte i kraft den 27. december 2022, hvor den blev offentliggjort i EU’s Official Journal. DORA finder anvendelse for virksomhederne fra den 17. januar 2025 efter en toårig implementeringsperiode. Derfor bør finansielle virksomheder og udbydere af informations- og kommunikationsteknologi (IKT-tjenesteudbydere) begynde at forberede sig allerede nu. 

Rammeværket har til formål at udvikle en styrket, standardiseret og holistisk, europæisk tilgang til it-sikkerhed, der fremmer teknologisk udvikling og sikrer finansiel stabilitet, forbrugerbeskyttelse og større modstandsdygtighed over for forestående cyber- og informationssikkerhedshændelser. Finansielle virksomheder og IKT-tjenesteudbydere skal være i stand til at modstå, reagere og reetablere sig fra påvirkningen af IKT-sikkerhedshændelser, og dermed fortsætte med at være i stand til at levere kritiske og vigtige finansielle tjenester og minimere forstyrrelser for kunder og for samfundet.

Hvad er DORA?

DORA giver myndighederne beføjelser til at føre tilsyn med cyber- og IKT-risici i forbindelse med virksomhedens afhængighed af tredjepartsudbydere, fx. cloud-platforme og tilhørende it-sikkerhedstjenester. Følgende opsummerer indholdet i forordningen:

Formålet med DORA er at harmonisere kravene til den finansielle sektors evne til at bygge, forbedre og monitorere den digitale operationelle modstandsdygtighed, som understøtter dens levering af finansielle tjenesteydelser:

  • DORA lægger op til ensartede krav for alle EU-medlemslandene

  • DORA lægger op til, at finansielle tjenester tester deres systemer baseret på de tilknyttede risici

  • DORA introducerer penetrationstest (TLPT) for kritiske aktører

  • DORA’s fokus på deling af viden vil hjælpe hele sektoren til at blive mere bevidste og proaktive som led i forberedelsen mod det voksende antal cyberangreb.

Hvilke virksomheder er omfattet af DORA?

  • Betalingsinstitutter
  • Elektroniske pengeinstitutter
  • Pensionsselskaber
  • Forsikringsselskaber
  • Kreditvurderingsbureauer
  • Værdipapircentraler
  • Tjenesteudbydere/udstedere af netværksfinansiering
  • Udbydere af services til crypto-aktiver
  • Tredjepartsudbydere af it-sikkerhedstjenester.
  • Kreditinstitutter

Hvilke hovedtemaer er inkluderet i lovgivningen?

Med DORA’s ikrafttrædelse flyttes virksomhedernes fokus fra udelukkende at skulle dokumentere sin finansielle soliditet til nu også at skulle demonstrere, hvordan virksomhederne sikrer opretholdelsen af en modstandsdygtig drift i forbindelse med en hændelse, hvor der kan opstå alvorlige driftsforstyrrelser forårsaget af problemer vedrørende cybersikkerhed og IKT. Ved at indføre en fælles, konsekvent tilsynsmetode, som finder anvendelse på enheder inden for den finansielle sektor, sikrer DORA konvergens og harmonisering af praksis for sikkerhed og modstandsdygtighed i hele EU.

DORA stiller minimumskrav i forhold til lovgivningen inden for fem hovedtemaer:

Finansielle virksomheder skal indføre omfattende regler for IKT-governance og risikostyring, herunder:

  • Opsætte og vedligeholde modstandsdygtige IKT-systemer og -værktøjer, der minimerer virkningen af IKT-risici

  • Identificere, klassificere og dokumentere kritiske funktioner og aktiver

  • Løbende overvåge samtlige kilder til IKT-risici, med henblik på at træffe beskyttelses- og forebyggelsesforanstaltninger

  • Øjeblikkeligt at afdække abnorme aktiviteter

  • Indføre målrettede og udførlige beredskabsplaner og politikker samt katastrofe- og genopretningsplaner, inkl. årlig test af beredskabsplanerne og alle understøttende funktioner

  • Etablere mekanismer til at lære af og udvikle sig på baggrund af eksterne begivenheder såvel som virksomhedens egne IKT-hændelser.

Finansielle virksomheder er forpligtet til at:

  • Udvikle en strømlinet proces til at logge/klassificere alle IKT-hændelser og fastlægge større hændelser på grundlag af de kriterier, der er beskrevet nærmere i forordningen og yderligere specificeret af de europæiske tilsynsmyndigheder (EBA, EIOPA og ESMA)

  • Indgive en indledende, foreløbig og endelig rapport om IKT-relaterede hændelser

  • Harmonisere indberetningen af IKT-relaterede hændelser ved hjælp af de standardskabeloner, som er udviklet af European Supervisory Authorities (ESA).

I henhold til forordningen skal alle virksomheder:

  • Foretage en grundlæggende IKT-afprøvning af IKT-værktøjer og -systemer på årlig basis

  • Identificere, afhjælpe og straks træffe korrigerende foranstaltninger i forhold til eventuelle svagheder, mangler eller huller i sikkerheden

  • Regelmæssigt udføre avancerede trusselsbaserede penetrationstests (TLPT) for IKT-tjenester, der påvirker kritiske funktioner.

Kritiske tredjepartsudbydere af IKT-tjenester vil være omfattet af en EU-tilsynsramme, som kan udstede henstillinger om afbødning af identificerede IKT-risici. I henhold til forordningen skal tredjepartsudbydere af IKT-tjenester deltage og samarbejde fuldt ud i test af cyberberedskab. I den forbindelse skal finansielle virksomheder tage højde for de IKT-tredjepartsrisici, der er forbundet med, at deres tjenesteudbydere ikke følger den fastlagte henstilling og til at håndtere IKT-tredjepartsrisici ved at:

  • Sikre en forsvarlig overvågning af de risici, der skyldes afhængigheden af tredjepartsudbydere af IKT-tjenester

  • Indberette deres fulde register over outsourcede aktiviteter, herunder koncerninterne tjenester og eventuelle ændringer i outsourcingen af kritiske tjenester til tredjepartsudbydere af IKT-tjenester

  • Tage hensyn til IKT-koncentrationsrisici og risici som følge af ordninger for videreoutsourcing

  • Harmonisere centrale elementer vedrørende tjenesten og forholdet til tredjepartsudbydere af IKT-tjenester for at muliggøre en fuldstændig overvågning 

  • Sikre at kontrakterne med tredjepartsudbydere af IKT-tjenester indeholder alle nødvendige bestemmelser vedrørende overvågning og tilgængelighed, såsom fuldstændige beskrivelser af serviceniveauet, angivelse af steder, hvor data skal behandles mv.

Finansielle virksomheder er forpligtede til at forholde sig til at:

  • Forordningen giver finansielle virksomheder mulighed for at etablere ordninger for informationsudveksling af oplysninger og efterretninger om cybertrusler indbyrdes

  • Tilsynsmyndigheden vil dele relevante anonymiserede oplysninger og efterretninger om cybertrusler med finansielle virksomheder.

Virksomhederne bør derfor indføre mekanismer til at gennemgå og reagere på de oplysninger, som myndighederne deler.

Den nye forordning sikrer forbrugere og virksomheder et bredere udvalg af finansielle tjenesteydelser og moderne betalingsløsninger, samtidig med at forbrugere og virksomheder beskyttes. På den måde sikres den finansielle stabilitet.

Hvordan påvirker DORA jeres virksomhed?

DORA-forordningen vil påvirke mange afdelinger i virksomhedernes organisering. Mange af disse afdelinger vil allerede være omfattet af eksisterende regler og lovgivning enten på et europæisk eller nationalt niveau. Men DORA vil også sætte nye krav til afdelinger, der ikke tidligere har været omfattet af arbejdet med lovgivning og regler, eksempelvis afdelinger der arbejder med erfaringsbaseret trusselsefterretning og penetrationstest af ændret karakter, og de kræver derfor øget opmærksomhed.

Flere virksomheder har svært ved at få et godt overblik og en forståelse af de vigtigste afhængigheder mellem en virksomhed og virksomhedens IKT-tjenesteudbydere. 

Virksomheder, der er omfattet af forordningen, bør enten påbegynde eller forbedre arbejdet med modstandsdygtighed. Dette uanset hvor langt jeres virksomhed er med jeres digitale og operationelle modstandsdygtighed. En indledende GAP-analyse og modenhedsvurdering er et godt udgangspunkt.

Lad os hjælpe jer med at omstille jeres virksomhed til DORA

Vores eksperter kan hjælpe jeres virksomhed med at administrere alle DORA’s regulatoriske krav, herunder overholde de danske og internationale regulatoriske krav om operationel robusthed og IKT-sikkerhed, og gøre jeres virksomhed modstandsdygtig.

DORA:

10 afgørende trin for effektiv og succesfuld compliance

Læs artikel

Kontakt os

Helle Dreyer

Partner, Regulation, Risk & Compliance, København, PwC Denmark

6155 5181

E-mail

Morten Friis

Partner, Technology & Security, København, PwC Denmark

5215 0258

E-mail

Morten Hofmann

Senior Manager, Regulation, Risk & Compliance, København, PwC Denmark

3117 3066

E-mail

Følg PwC

Felter, markeret med stjerne, skal udfyldes.(*)

Ved at indsende denne formular giver du samtykke til, at PwC må behandle de personoplysninger, du har indtastet for at kunne håndtere din henvendelse. Læs mere om dine rettigheder, samt hvordan du kan kontakte PwC og/eller klage i PwC’s privatlivspolitik.

Hide
Om os Kontorer Presse Kontakt os

© 2021 - 2024 PwC. Alle rettigheder forbeholdes. PwC refererer til PwC netværket og/eller et eller flere af dets medlemsfirmaer, hvor hver enkelt virksomhed er en særskilt juridisk enhed. Se www.pwc.com/structure for yderligere detaljer.